Palo Alto PAN-OS Windows AD Note technique d’intégration
Resolution
Intégration de publicités de Palo Alto
Le pare-feu de Palo Alto Networks peut être intégré avec Microsoft Windows Active Directory par le biais de LDAP. La nouvelle version de PAN-OS permet sans agent d’authentification avec le contrôleur de domaine Active Directory ; Toutefois, les paramètres WMI (Windows Management Instrumentation) sur le contrôleur de domaine AD doivent être modifiées et vous devez être administrateur de domaine pour le faire.
Conditions préalables
Avant de vous intégrer un dispositif de Palo Alto Networks avec AD, vous devez créer un ID d’utilisateur dans AD que vous utiliserez pour accéder à LDAP. Au minimum, ce compte doit être membre du groupe opérateurs de serveur intégré à AD. Pour des raisons de sécurité et d’être compatible avec les pratiques exemplaires, vous devriez respecter les droits d’accès minimal pour ce compte.
Pour cette démonstration, nous avons créé un utilisateur, paloaltoladap@paynetonline.com, dans AD avec un mot de passe approprié, et nous avons ajouté ce compte à Server Operators Group.
Définitions
WMI (Windows Management Instrumentation) est l'implémentation Microsoft de WBEM (Web-Based Enterprise Management), une initiative de l'industrie visant à développer une technologie standard pour accéder aux informations de gestion dans un environnement d'entreprise. WMI utilise la norme de l'industrie CIM (Common Information Model) pour représenter les systèmes, les applications, les réseaux, les périphériques et d'autres composants gérés. CIM est développé et maintenu par le DMTF Distributed Management Task Force ().
Obtention de données de gestion des ordinateurs distants WMI rend utile. Les connexions WMI distantes sont effectuées via DCOM. Une alternative consiste à utiliser Windows Remote Management (WinRM), qui obtient des données de gestion WMI distantes utilisant le protocole WS-Management SOAP.
Scripts ou applications de gestion peuvent obtenir des données ou effectuer des opérations par le biais de WMI dans une variété de langues.
Common Information modèle version 2 est un standard ouvert qui définit comment les éléments gérés dans un environnement informatique sont représentés comme un ensemble commun d'objets et de relations entre eux. Distributed Management Task Force maintient le CIM pour permettre une gestion cohérente de ces éléments managés, indépendamment de leur fabricant ou fournisseur.
Décrire CIM consiste à dire qu’il permet de multiples parties d’échanger des informations de gestion sur les éléments managés. Toutefois, cette tombe de description courte, car CIM représente non seulement ces géré les éléments et les informations de gestion, mais fournit également des moyens pour contrôler et gérer ces éléments activement. En utilisant un modèle commun de l’information, logiciel de gestion peut être écrit une fois, puis travailler avec nombreuses implémentations du modèle commun sans opérations de conversion complexes et coûteuses ou perte de données.
Le système d’operationg Palo Alto Networks est basé sur la plate-forme Unix, une norme ouverte qui n’importe qui peut modifier, mais l’industrie a également convenu de certaines normes de s’assurer que les appareils peuvent communiquer entre eux. C’est pourquoi vous devez faire de petits changements dans WMI sur le contrôleur de domaine de l’intégration sans agent avec AD.
Modification de WMI
Après que vous être connecté tant qu’un administrateur de domaine au contrôleur de domaine, lancer WMI en entrant wmimgmt.msc dans le menu Démarrer Exécuter. Les affichages suivants de GUI :
Sélectionnez WMI Control (local), accédez aux propriétés et cliquez sur l' onglet sécurité pour accéder à la racine de cimv2:
Double-cliquez sur root pour le développer et naviguez jusqu'à la racine de cimv2. Développez-le pour obtenir le dossier de sécurité, où vous ajoutez le compte d' utilisateur paloaltoladap@paynetonline.com.
Grant active le compte et les autorisations d'activation à distance sur le compte paloaltoladap@paynetonline.com.
Enregistrer toutes les modifications, et vous êtes prêt à configurer l’intégration de Palo Alto Networks avec l’AD.
Vue d’ensemble de Palo Alto Networks WebGUI
L’interface utilisateur graphique basée sur le Web est facile à utiliser, mais certaines fonctions sont uniques à Palo Alto Networks. les boîtes de vitesses permettent aux utilisateurs d'accéder à d'autres options de configuration.
Localisez le bouton Ajouter au bas de l'interface graphique.
Les modifications apportées au fichier de configuration ne prennent effet que lorsque vous validez les modifications. Enregistrer les modifications ne commet pas eux. L'interface graphique comporte trois options dans le coin supérieur droit: valider, verrouilleret Enregistrer:
- Commit est grisé si aucune modification n'est apportée au fichier deconfiguration, s'il y a des modifications, l'option est en bleu clair.
- Lock empêche toute modification du fichier de configuration.
- Save permet des modifications sans les commettre .
Modifications de configuration ne nécessitent pas de redémarrage.
L'interface graphique principale est divisée en deux sections: lesonglets en haut et le volet gauche avec les paramètres de configuration pour chaque option définie dans les onglets.
Sous-onglets permettent de configurer des options supplémentaires.
Pour s’intégrer avec les fenêtres AD, vous devez entrer les adresses IP des serveurs DNS Windows et le serveur NTP. Après vous être connectez au périphérique Palo Alto Networks, cliquez sur l' onglet Device (périphérique) et sur Setup (Configuration) dans le volet gauche. Dans le menu sous-onglet, cliquez sur l' onglet services, puis sur la boîte de vitesses dans le coin, comme indiqué dans l'exemple suivant.
Sous services, ajoutez des adresses IP pour les serveurs DNS primaire et secondaire.
Sous NTP, ajoutez l'adresse IP du serveur NTP.
Après avoir configuré les paramètres DNS, familiarisez-vous avec les options suivantes dans le volet gauche: Administrateurs, identification de l' utilisateur , profils de serveur > LDAP et profil d'authentification.
C’est une bonne idée de suivre une séquence spécifique pour configurer l’intégration avec AD pour éliminer les erreurs. On recommande de commencer avec la configuration LDAP. Vous allez développer la section profils de serveur et naviguer vers LDAP . Dans le coin inférieur gauche de l'interface graphique, cliquez surajouter.
LDAP—dans le coin inférieur gauche de l'interface graphique, cliquez sur le bouton Ajouter pour ajouter un profil de serveur LDAP.
Le profil de serveur LDAP s’affiche, vous permettant de configurer l’authentification avec le serveur LDAP. Car vous pouvez avoir plusieurs profils de serveur LDAP, il est important de donner à chacun un nom logique.
Avoir les informations suivantes prêtes avant de procéder à la configuration :
- Nom du serveur LDAP
- Adresse IP du serveur LDAP
- Numéro de port LDAP
- Compte d’utilisateur et le mot de passe que vous avez utilisé dans la configuration WMI
- Pointeurs de base
Comme il existe plusieurs implémentations de LDAP et de Palo Alto Networks prend en charge SSL pour authentifier avec le LDAP, le paramètre pour le type LDAP est défini sur other et l'option SSL est cochée.
Vous devez nommer le profil de serveur LDAP ou tu vas être impossible d’enregistrer la configuration. Sélectionner un nom clair et logique, étant donné que vous pouvez avoir plusieurs profils de serveur LDAP. Ce nom peut également suivre société normes de nommage. Un schéma de nommage clair et compréhensible est extrêmement utile lors du dépannage.
La boîte de configuration des serveurs LDAP est divisée en lignes et colonnes. Chaque ligne possède une cellule qui doit être remplie avec les valeurs appropriées. Pour remplir la cellule, cliquez sur jusqu'à ce qu’il devienne jaune et le curseur se met à clignoter. Après vous remplissez d’informations dans la cellule, onglet à la suivante.
Pour le type du serveur LDAP, sélectionnez Active-Directory dans le menu déroulant.
La Base peut être entrée manuellement ou il remplira après avoir entré Bind DN login id et le mot de passe. Si vous n’avez pas SSL configuré pour se connecter à LDAP, puis décochez la case SSL ou vous ne serez pas capable de se connecter au serveur LDAP.
Après avoir cliqué sur OK, validez la modification à la configuration en cours d’exécution. Vous êtes maintenant prêt à établir une connexion WMI avec les serveurs de domaine Windows.
Cliquez sur identification de l'utilisateur dans le volet gauche, onglet mappage utilisateur , puis la boîte de vitesses pour entrer les mêmes informations d'identification que vous avez utilisé pour configurer les paramètres WMI sur le serveur de domaine,dans ce cas, les informations d'identification sont p aloaltoldap.
Spécifiez le domaine où réside le compte d'utilisateur— dansce cas, il s'agit de paynetonline\paloaltoldap.
Effectuez toutes les étapes, puis ajoutez vos contrôleurs de domaine Windows en cliquant sur découvrir dans la section surveillance du serveur. Les contrôleurs de domaine se remplissent automatiquement avec l'état Connected. Il s’agit d’indique que vous avez établi avec succès de connexion avec le Windows AD LDAP. Un état déconnecté (rouge) signifie une erreur dans la configuration, très probablement, un problème d'authentification. Vérifiez les informations d’identification de compte et de configuration WMI.
L’étape suivante consiste à créer le profil d’authentification. Il pourrait y avoir plusieurs profils d’authentification ; par conséquent, il est important de nommer logiquement. Cliquez sur profil d'authentification dans le volet gauche, puis cliquez sur ajouter.
Il est important d'utiliser un nom clair et logique pour le profil d'authentification, car vous pouvez avoir plusieurs profils avec les droits des différents utilisateurs. Deuxièmement, Palo Alto Networks PAN-OS ne permet pas de sauver un profil d’authentification sans nom. Basculez le type d'authentification de la base de données locale vers LDAP en cliquant sur la flèche pour développer le menu déroulant.
Sélectionnez le profil de serveur que vous venez de créer dans la section précédente et définissez l'attribut login sur sAMAccountNAme.
sAMAccountNAme est un paramètre important. Cet attribut spécifie le nom de connexion utilisé pour soutenir les clients et serveurs exécutant LAN manager et les anciennes versions du système d’exploitation, comme Windows NT 4.0, Windows 95 et Microsoft Windows 98.
CN : SAM-Account-Name
ldapDisplayName : sAMAccountName
attributeId : 1.2.840.113556.1.4.221
attributeSyntax : 2.5.5.12
omSyntax : 64
isSingleValued : vrai
schemaIdGuid : 3e0abfd0-126a-11d0-a060-00aa006c33ed
systemOnly : faux
searchFlags : fPRESERVEONDELETE | SACD | fATTINDEX
rangeLower : 0
rangeUpper : 256
attributeSecurityGuid : 59ba2f42-79a2-11d0-9020-00c04fc2d3cf
isMemberOfPartialAttributeSet : vrai
systemFlags : FLAG_SCHEMA_BASE_OBJECT |
FLAG_ATTR_REQ_PARTIAL_SET_MEMBER
schemaFlagsEx : FLAG_ATTR_IS_CRITICAL
Vous ne pouvez pas vous connecter à l'aide de votre nom d'utilisateur de connexion Windows si l' attribut sAMAccountNAme n'est pas défini.
La dernière étape consiste à ajouter ou créer des comptes de connexion pour les administrateurs du pare-feu. Les comptes doivent correspondre des conventions de nommage de compte utilisées dans votre annuaire Active Directory. Cliquez sur le lien administrateurs dans le volet gauche, puis sur ajouter .
Le nom doit correspondre à l’ID d’utilisateur dans Active Directory. Pour le profil d'authentification, sélectionnez le profil que vous venez de créer dans la section précédente-dans ce cas, il est PayNet admins.
Après que vous changez de profil d’authentification, vous n’avez pas à entrer les mots de passe. Par défaut, tous les administrateurs de pare-feu sont définis sur superutilisateur.
Droits d’administration de pare-feu peuvent être définies :
- Super utilisateur
- Super-utilisateur (lecture seule)
- Administrateur de l’appareil
- Administrateur de l’appareil (lecture seule)
Enfin, voici ce que vous voyez une fois la configuration terminée. Notez que la colonne de profil d’authentification vous indique quel profil est utilisé par chaque utilisateur.